Seite 4 von 22 ErsteErste ... 2345614 ... LetzteLetzte
Ergebnis 31 bis 40 von 219

Thema: Mail Account Phishing

  1. #31
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder mal Spear Phishing, die Fake Login Seite war der betroffenen Uni angepasst:


    header:
    01: Received: from mx03.yournamewebhosting.com (mx03.yournamewebhosting.com
    02: [194.213.126.15])
    03: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    04: (No client certificate requested)
    05: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    06: for xxxxx; Sun, 21 Nov 2010 xx:xx:xx +0100 (CET)
    07: Received: from nl69.yourname.nl ([82.192.68.69])
    08: by mx03.yournamewebhosting.com with esmtps (TLSv1:AES256-SHA:256)
    09: (Exim 4.72)
    10: (envelope-from <root [at] nl69.yourname.nl>)
    11: ID: [ID filtered]
    12: for xxxxx; Sun, 21 Nov 2010 xx:xx:xx +0100
    13: Received: (qmail 7322 invoked by UID: [UID filtered]

    Lieber Kunde,

    Um Sie sicherzustellen werden immer, wir vorstellen ein neues Programm
    geschützt
    auf der Sicherheit benannt WebmailSecure-cfx-08 und you' ll sehen einige
    Initiativen
    das wird an der richtigen Stelle gesetzt, um Ihre Webmail
    Service-Erfahrung zu
    erhöhen.

    Für Sicherheitsgründe müssen Sie Ihr Webmail Konto zu verbessern
    Wiederherstellungs-voller Zugriff zu Ihrem E-Mail-Service.
    Klicken Sie bitte an*Update
    whois: [Link nur für registrierte Mitglieder sichtbar. ]* zu beginnen
    Gültigkeitserklärung Prozess.

    Kunde Service.
    Universität xyz
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 82.192.68.69 ---> nl69.yourname.nl/Leaseweb
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #32
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder mal von Skript-Kiddies geklaut:


    header:
    01: Received: from prudence.franklinpierce.edu (prudence.franklinpierce.edu
    02: [64.140.223.134])
    03: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    04: Tue, 23 Nov 2010 xx:xx:xx +0100 (CET)


    Your mailbox is almost full. 20GB 23GB Current size Maximum size
    Your Webmail Quota Has Exceeded The Set Quota/Limit Which Is 20GB.
    You Are Currently Running On 23GB Due To Hidden Files And Folder On Your
    Mailbox.Please Click the Link Below To Validate Your Mailbox And
    Increase Your Quota. Click whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Failure To Click This Link And Validate Your Quota May Result In Loss Of
    Important Information In Your Mailbox/Or Cause Limited Access To It.
    Thanks
    HELP DESK
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 209.51.196.250 ---> fa.c4.33.static.xlhost.com

    Im Quelltext der Seite findet man dann noch:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #33
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Die Skript-Kiddies sind wieder unterwegs, die Masche kennt man doch:

    wieder mal gecrackter Uni-Account:


    header:
    01: Received: from mail.bsc.edu (ex2007-ca.bsc.edu [137.220.1.157])
    02: (using TLSv1 with cipher RC4-MD5 (128/128 bits))
    03: (No client certificate requested)
    04: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    05: for xxxxx; Mon, 6 Dec 2010 xx:xx:xx +0100 (CET)
    06: Received: from EX2007-MS-STUD.campusnet.bsc.edu ([137.220.1.177]) by
    07: EX2007-CA.campusnet.bsc.edu ([137.220.1.157]) with mapi; Sun, 5 Dec 2010
    08: xx:xx:xx -0600

    Your mailbox is full.
    92MB 78MB
    Current size Maximum size
    Your mailbox has exceeded the storage limit which is 20GB as set by your
    administrator,you are currently running on 20.9GB,you may not be able to
    send or receive new mail until you re-validate your mailbox.To
    re-validate your mailbox please

    CLICK HERE whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Then a form will appear, you are to carefully fill in your email account
    details and submit.

    Thanks
    System Administrator
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 209.51.196.252 ---> fc.c4.33.static.xlhost.com (wieder mal XLHost)

    Und im Quelltext wieder der Verweis auf den 'Klicki-Bunti-Formgenerator':

    whois: [Link nur für registrierte Mitglieder sichtbar. ]


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #34
    Senior Mitglied
    Registriert seit
    22.03.2006
    Ort
    unknown
    Beiträge
    1.221

    Standard

    GMX Phishing über die eigene Infrastruktur mal wieder


    header:
    01: Return-Path: <SRS0=xVFY=TU=gmx-gmbh.de=post [at] srs.kundenserver.de>
    02: Delivered-To: GMX delivery to xxx
    03: Received: (qmail invoked by alias); 21 Dec 2010 xx:xx:xx -0000
    04: Received: from moutng.kundenserver.de (EHLO moutng.kundenserver.de)
    05: [212.227.17.9] by mx0.gmx.net (mx022) with SMTP; 21 Dec 2010 xx:xx:xx +0100
    06: Received: from icpu1510.kundenserver.de (infong194.kundenserver.de
    07: [212.227.127.47]) by mrelayeu.kundenserver.de (node=mreu0) with ESMTP (Nemesis) ID:
    08: [ID filtered]
    09: Received: from 67.202.72.174 (IP may be forged by CGI script) by
    10: icpu1510.kundenserver.de with HTTP ID: [ID filtered]
    11: X-Sender-Info: <179008779 [at] icpu1510.kundenserver.de>
    12: Date: Tue, 21 Dec 2010 xx:xx:xx +0100
    13: Message-ID: [ID filtered]
    14: Precedence: bulk
    15: X-Apache-Env: www-ip="NjcuMjAyLjcyLjE3NA==";helo="aWNwdTE1MTAua3
    16: VuZGVuc2VydmVyLmRl";script="Ly9pbWFnZXMvZGVzdC5waH
    17: A="
    18: To: xxx
    19: Subject: E-Mail-Sicherheit und Datenschutz
    20: From: GMX Internet Services GmbH <post [at] gmx-gmbh.de>
    21: MIME-Version: 1.0
    22: Content-Type: text/html
    23: Content-Transfer-Encoding: 8bit
    24: X-Provags-ID: [ID filtered]
    25: lxA36R1rWiwuN35uXUaBuLTtYY1Afau+awOl0DbZ5+yYsrz4MY
    26: EarPDf+HvDzmtTO2HBLNQUKKjB9KN1i4cJ5Kt2CO3IHTUjtGQp
    27: iEaXXX2swcQGr1hPEqALzrz62YOx/2W1kwleLE2OpEXga8OUm+
    28: 5e5L3gGtM/1zvP3elpvog==
    29: X-GMX-Antivirus: 0 (no virus found)
    30: X-GMX-Antispam: -2 (not scanned, spam filter disabled);
    31: Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;
    32: X-Resent-For: xxx
    33: X-GMX-UID: [UID filtered]
    34: X-Flags: 1401

    meta http-equiv="Content-Type" content="text/html; charset=windows-1252"

    Sehr geehrter Kunde,

    Zugriff auf Ihre E-Mail-Account lдuft demnдchst ab,
    Wir raten Ihnen, Ihr Konto aktualisieren, die Aussetzung zu vermeiden.
    Bitte klicken Sie auf den untenstehenden Link, um Ihre E-Mail-Zugang zu
    aktualisieren.
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

  5. #35
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Mal wieder:


    header:
    01: Received: from mail.cablemail.bg (EHLO mail.cablemail.bg) [217.9.224.207]
    02: by mx0.gmx.net (mx046) with SMTP; 03 Feb 2011 xx:xx:xx +0100
    03: Received: from mail.cablemail.bg (localhost [127.0.0.1])
    04: by mail.cablemail.bg (Postfix) with ESMTP ID: [ID filtered]
    05: Thu, 3 Feb 2011 xx:xx:xx +0200 (EET)
    06: X-Virus-Scanned: amavisd-new at cablemail.bg
    07: Received: from mail.cablemail.bg ([127.0.0.1])
    08: by mail.cablemail.bg (mail.cablemail.bg [127.0.0.1]) (amavisd-new, port
    09: 10024)
    10: with ESMTP ID: [ID filtered]
    11: Received: by mail.cablemail.bg (Postfix, from userID: [ID filtered]
    12: ID: [ID filtered]

    X-PHP-Script: 217.9.224.207/index.php for 120.141.84.162 ---> Packet One Networks (M) Sdn, MY

    Also einer der Malaysia-Mugus?

    Dear Valued Customer,

    We have upgrade our e-mail account to the new New Vision, Please upgrade
    your webmail account to our New Vision.
    upgrade the link (
    whois: [Link nur für registrierte Mitglieder sichtbar. ] ) by fil in
    your E-mail Address and Password: and submit immediately your account will
    be upgrade to our Webmail New Vision!!

    Fall 2011
    News Archives Home
    All News
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/webmaster/verify.php

    IP: 116.0.23.204 ---> belenos.instanthosting.com.au


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #36
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    gecrackter Earthlink Account:


    header:
    01: Received: from elasmtp-curtail.atl.sa.earthlink.net
    02: (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    03: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    04: Tue, 8 Feb 2011 xx:xx:xx +0100 (CET)
    05: DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
    06: s=dk20050327; d=earthlink.net;
    07: b=DsNlu9gzTlGKa5h5Hz84lSjZhq93PiggNQvhAKFE6ecFrSWi5ufuH0Gx+2QM35/i;
    08: h=Message-ID:Date:From:Reply-To:Subject:Mime-Version:Content-Type:Content-Transfer-Encoding:X-M
    09: iler:X-ELNK-Trace:X-Originating-IP;
    10: Received: from [209.86.224.34] (helo=elwamui-hound.atl.sa.earthlink.net)
    11: by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    12: (envelope-from <jdsimi [at] earthlink.net>)
    13: ID: [ID filtered]
    14: Received: from 77.246.66.5 by webmail.earthlink.net with HTTP; Tue, 8
    15: Feb 2011 xx:xx:xx -0500

    IP: 77.246.66.5 ---> IncoNet-Data Management sal, LB

    [Link nur für registrierte Mitglieder sichtbar. ]

    Reaktivieren Sie Ihre Mail-Konto.
    Ihre E-Mail Konto wird bald eingestellt werden (Grund: Jährliche Quote Wartung). So aktivieren Sie Ihre E-Mail-Konto, antworten Sie auf diese Mail sofort zur Reaktivierung Ihrer E-Mail-Konto mit Ihrem

    E-Mail Adresse:
    E-Mail Benutzername:
    Passwort:
    Passwort bestätigen:

    System-Administrator
    E-Mail: [Link nur für registrierte Mitglieder sichtbar. ]

    Diese Mails sind für Sie aus unserer gesicherten ITS-Service-Center gesendet. Bitte antworten Sie auf diese Nachricht für die Reaktivierung Ihres Kontos mit Ihren aktuellen Mail-Konto Benutzername und Passwort.
    Wir bedauern Entschuldigungen für diese ungewöhnliche Problem.

    WEBMAIL REAKTIVIERUNG SERVICE
    Für seinen Service.
    [Link nur für registrierte Mitglieder sichtbar. ]


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #37
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder ist man anscheinend auf Uni-Accounts aus, könnten Mugus sein:


    header:
    01: Received: from ucasd.iu5.org (mail.ucasd.iu5.org [64.83.143.16])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: Tue, 22 Feb 2011 xx:xx:xx +0100 (CET)
    04: Received: from 172.190.223.84 with HTTP
    05: by webserver ucasd.iu5.org (192.168.66.51) ; Mon, 21 Feb 2011 xx:xx:xx
    06: EST


    header:
    01: Received: from ucasd.iu5.org (ucasd.iu5.org [64.83.143.16])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: Tue, 22 Feb 2011 xx:xx:xx +0100 (CET)
    04: Received: from 41.206.11.12 with HTTP
    05: by webserver ucasd.iu5.org (192.168.66.51) ; Mon, 21 Feb 2011 xx:xx:xx EST


    header:
    01: Received: from ucasd.iu5.org (mail.ucasd.org [64.83.143.16])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: Tue, 22 Feb 2011 xx:xx:xx +0100 (CET)
    04: Received: from 41.206.11.12 with HTTP
    05: by webserver ucasd.iu5.org (192.168.66.51) ; Tue, 22 Feb 2011 xx:xx:xx EST

    IP: 192.168.66.51 ---> ACBEDF54.ipt.aol.com

    IP: 41.206.11.12 ---> 41.206.11.12.vgccl.net, Nigeria

    Sie haben die Lagerung f=FCr Ihr Postfach =FCberschritten wird. Sie werden =
    nichtin der Lage, neue E-Mail, bis Sie Ihre E-Quote Upgrade erhalten.

    Klicken Sie auf den folgenden Link, um das Konto Upgrade-Formular ausf=FCll=
    en.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    System-Administrator
    192.168.0.1




    ________________________________________________________________
    Sent via the WebMail system at ucasd.iu5.org
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/webmail.support-team.hs-bremen.de

    IP: 193.138.212.30 ---> BBOXBBS Fritz Keller

    leitet weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/form/use/forms/form1.html

    IP: 66.96.147.111 ---> 111.147.96.66.static.eigbox.net


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #38
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Mugu-Phishki ist immer noch unterwegs:


    header:
    01: Received: from ucasd.iu5.org (unknown [64.83.143.16])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: Wed, 23 Feb 2011 xx:xx:xx +0100 (CET)
    04: Received: from 172.131.133.190 with HTTP
    05: by webserver ucasd.iu5.org (192.168.66.51) ; Wed, 23 Feb 2011 xx:xx:xx
    06: EST

    IP: 172.131.133.190 ---> AC8385BE.ipt.aol.com

    Sie haben die Lagerung f=FCr Ihr Postfach =FCberschritten wird. Sie werden =
    nichtin der Lage, neue E-Mail, bis Sie Ihre E-Quote Upgrade erhalten.

    Klicken Sie auf den folgenden Link, um das Konto Upgrade-Formular ausf=FCll=
    en.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/Technical.Support.team.uni.de

    System-Administrator
    192.168.0.1
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/Technical.Support.team.uni.de

    IP: 193.138.212.30 ---> BBOXBBS Fritz Keller

    leitet jetzt weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/forms/use/for/form1.html

    IP: 65.254.248.141 ---> 65-254-248-141.yourhostingaccount.com

    Zu mehr als zu einem whois: [Link nur für registrierte Mitglieder sichtbar. ] hat's leider nicht gereicht....

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #39
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und bei den Amis ist der Server noch immer gecrackt:


    header:
    01: Received: from ucasd.iu5.org (mail.ucasd.org [64.83.143.16])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: Wed, 23 Feb 2011 xx:xx:xx +0100 (CET)
    04: Received: from 172.129.138.137 with HTTP
    05: by webserver ucasd.iu5.org (192.168.66.51) ; Wed, 23 Feb 2011 xx:xx:xx

    IP: 172.129.138.137 ---> AC818A89.ipt.aol.com

    Die Phishing-Site inklusive Weiterleitung ist aber schon tot....

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #40
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Der Mugu ist hartnäckig:


    header:
    01: Received: from ucasd.iu5.org (mail.ucasd.iu5.org [64.83.143.16])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: Thu, 24 Feb 2011 xx:xx:xx +0100 (CET)
    04: Received: from 172.131.183.247 with HTTP
    05: by webserver ucasd.iu5.org (192.168.66.51) ; Thu, 24 Feb 2011 xx:xx:xx
    06: EST

    IP: 172.131.183.247 ---> AC83B7F7.ipt.aol.com

    Sie haben die Lagerung f=FCr Ihr Postfach =FCberschritten wird. Sie werden =
    nichtin der Lage, neue E-Mail, bis Sie Ihre E-Quote Upgrade erhalten.

    Klicken Sie auf den folgenden Link, um das Konto Upgrade-Formular ausf=FCll=
    en.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/Technical-Support.team.uni.de

    System-Administrator
    192.168.0.1




    ________________________________________________________________
    Sent via the WebMail system at ucasd.iu5.org
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 193.138.212.30 ---> BBOXBBS Fritz Keller

    leitet weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/contacts/use/1980/form1.html

    IP: 74.208.175.75 ---> perfora.net/1&1


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 4 von 22 ErsteErste ... 2345614 ... LetzteLetzte

Ähnliche Themen

  1. Aion Account Phishing
    Von kjz1 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 20
    Letzter Beitrag: 01.08.2010, 18:01
  2. WoW Account Phishing
    Von bsd5543 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 9
    Letzter Beitrag: 12.05.2010, 21:39
  3. ARCOR - Account Phishing
    Von Wurgl im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 5
    Letzter Beitrag: 08.10.2008, 19:07
  4. Mail mit Subject: PayPal Account Suspension Notice - PayPal Account Limited
    Von SpamRam im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 31.10.2005, 14:47
  5. [phishing] NCUA - Account Verification
    Von Motte im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 11.06.2005, 22:13

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen